Over 600 000 rutere i USA tatt ned av mystisk cyberangrep

Over 600 000 små kontor/hjemmekontor (SOHO)-rutere i USA ble gjort ubrukelige i et cyberangrep utført av ukjente angripere, og forstyrret internettilgangen for mange brukere. Denne betydningsfulle hendelsen, som fant sted mellom 25. og 27. oktober 2023, ble kalt "Pumpkin Eclipse" av Lumen Technologies Black Lotus Labs-teamet. Angrepet var rettet mot tre spesifikke rutermodeller – ActionTec T3200, ActionTec T3260 og Sagemcom – levert av en ikke avslørt internettleverandør (ISP).

I løpet av 72-timers angrepsperioden ble de kompromitterte ruterne permanent skadet, noe som nødvendiggjorde utskifting av maskinvare. Denne hendelsen resulterte i tap av 49 % av alle modemer knyttet til Internett-leverandørens autonome systemnummer (ASN). Mens ISP-ens identitet ikke ble offisielt bekreftet, mistenkes Windstream på grunn av et tilsvarende strømbrudd og brukerrapporter om berørte modemer som viser et "konstant rødt lys".

Lumens påfølgende etterforskning identifiserte råvare-fjerntilgangstrojaneren (RAT) kalt Chalubo som den skyldige bak angrepet. Chalubo, først bemerket av Sophos i oktober 2018, er kjent for sin evne til å målrette en rekke SOHO/IoT-kjerner, utføre DDoS-angrep og kjøre Lua-skript. Det ser ut til at angriperne brukte Chalubo for å komplisere attribusjon, i stedet for å bruke et tilpasset verktøy. Den nøyaktige metoden som ble brukt for å få innledende tilgang til ruterne er fortsatt uklar, selv om den kan ha involvert svak legitimasjon eller eksponerte administrative grensesnitt.

Når tilgangen var sikret, distribuerte skadevaren shell-skript for å laste ned og starte Chalubo fra en ekstern server, inkludert en destruktiv Lua-skriptmodul. Denne kampanjens fokus på et enkelt ASN er uvanlig, ettersom de fleste angrep retter seg mot spesifikke rutermodeller eller vanlige sårbarheter, noe som antyder et bevisst og spesifikt mål, selv om angripernes motivasjon forblir ukjent.

Lumen fremhevet det enestående omfanget av dette angrepet, og la merke til at ingen tidligere hendelser har nødvendiggjort utskifting av over 600 000 enheter. En sammenlignbar hendelse var AcidRain- angrepet, som gikk forut for en aktiv militær invasjon , som understreket alvorlighetsgraden og den unike karakteren til gresskarformørkelsen.